Варіант шкідливого програмного забезпечення для Android HOOK
Дослідники з кібербезпеки виявили новий варіант банківського трояна для Android, відомого як HOOK, який тепер містить накладки у стилі програм-вимагачів, призначені для вимагання грошей жертв. Це знаменує собою значну еволюцію його можливостей, виходячи за рамки традиційного банківського шкідливого програмного забезпечення.
Зміст
Вимагання у стилі програм-вимагачів
Одним із найвражаючих доповнень в останньому варіанті є можливість розгортання повноекранного оверлею з програмою-вимагачем. Це оверлей відображає загрозливе повідомлення «ПОПЕРЕДЖЕННЯ», що супроводжується динамічно отриманою адресою гаманця та сумою викупу з сервера командування та управління (C2).
Екран вимагання активується дистанційно, коли сервер C2 надсилає команду «randome», і може бути закритий, коли зловмисник видає інструкцію «delete_ransome».
Коріння в банківському трояні ERMAC
HOOK вважається прямим відгалуженням банківського трояна ERMAC, вихідний код якого раніше був оприлюднений в Інтернеті. Подібно до ERMAC, HOOK значною мірою покладається на служби доступності Android та шахрайські накладні екрани для крадіжки облікових даних, автоматизації фінансового шахрайства та захоплення контролю над зараженими пристроями.
Розширені функції шпигунства та експлуатації
Окрім крадіжки облікових даних, HOOK може похвалитися різноманітними нав'язливими функціями. Він може:
- Надсилайте SMS-повідомлення на номери, контрольовані зловмисником.
- Транслюйте пряму трансляцію з екрану жертви.
- Зробіть знімки за допомогою фронтальної камери.
- Крадіжка файлів cookie та фраз відновлення, пов'язаних з криптовалютними гаманцями.
Ці функції підкреслюють поєднання HOOK із можливостями шпигунського програмного забезпечення, надаючи зловмисникам широкі можливості спостереження та крадіжки.
Розширення віддалених команд
Найновіша версія HOOK підтримує 107 віддалених команд, а також 38 нових можливостей. Це покращує його здатність обманювати користувачів та збирати конфіденційні дані.
Деякі з найпомітніших нових команд включають:
- ransome – відображає на пристрої накладання у стилі програми-вимагача
- delete_ransome – Видаляє накладення програми-вимагача
Масштабні канали розповсюдження
Дослідники простежили поширення HOOK на фішингових веб-сайтах та шахрайських репозиторіях GitHub, що містять шкідливі APK-файли. Використання GitHub для поширення шкідливого програмного забезпечення не є новим, такі сімейства, як ERMAC та Brokewell, також поширювалися через платформу, що демонструє її зростаючу популярність серед зловмисників.
Розмивання межі між категоріями шкідливого програмного забезпечення
Швидка еволюція HOOK відображає тривожну тенденцію в мобільних загрозах: поєднання банківських троянів, шпигунських програм та програм-вимагачів. Постійно розширюючи свої функції та поширюючись через масштабні кампанії, HOOK створює зростаючу загрозу для фінансових установ, підприємств та звичайних користувачів Android.
